analyse et aide pour un log hijackthis

[sebboulois]

bonsoir,

 

cela fait deux trois jours que je ne peux plus charger que 2 ou trois page web aprés ça bloque....

même les mise à jour de logiciels de protection....

je suis bloqué obligé d'utiliser une autre machine.

 

voici le log de hijackthis:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 18:02:00, on 03/11/2009

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

c:\program files\a-squared free\a2service.exe

C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe

C:\Program Files\QuickTime\qttask.exe

C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

C:\Program Files\Internet Explorer\Connection Wizard\icwsetup.exe

C:\Program Files\zeprotec\HiJackThis.exe

C:\WINDOWS\System32\svchost.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.be/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [sysgif32] C:\WINDOWS\Temp\wpv651253178221.exe

O4 - HKLM\..\Run: [internet Connection Wizard Setup Tool] C:\Program Files\Internet Explorer\Connection Wizard\icwsetup.exe

O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O4 - Startup: ikowin32.exe

O4 - Global Startup: icwsetup.exe

O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/Facebo...toUploader5.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMesse...pDownloader.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{1220A3FC-14D9-4A1D-95E9-63AB9C761A5E}: NameServer = 212.87.96.9 87.236.216.220

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL

O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - c:\program files\a-squared free\a2service.exe

O23 - Service: Service de transfert intelligent en arrière-plan (BITS) - Unknown owner - C:\WINDOWS\

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe

O23 - Service: Pml Driver HPH11 - HP - C:\WINDOWS\System32\HPHipm11.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

O23 - Service: Mises à jour automatiques (wuauserv) - Unknown owner - C:\WINDOWS\

 

--

End of file - 4452 bytes

 

 

merci pour votre aide.

Modifié le 3 novembre 2009 par sebboulois

[Apollo]

Bonsoir,

 

Mmmmh, ton système est très vulnérable, SP1 et Explorer 6, the big danger pour le système.

 

Il faudra passer au moins au SP2 puis à Explorer 8.

 

Pas d'antivirus; il va falloir remédier à cela le plus vite possible.

 

Quand à ASquared, qui est le champion du monde des faux-positifs et Spybot D&D qui ne vaut plus rien, je te conseille de les désinstaller. > on va remplacer ça par du solide et sérieux.

 

Télécharge Malwarebytes' Anti-Malware (MBAM)

 

Ce logiciel est à garder.

 

Uniquement en cas de problème de mise à jour:

 

Télécharger mises à jour MBAM

 

Exécute le fichier après l'installation de MBAM

 

• Double clique sur le fichier téléchargé pour lancer le processus d'installation.
  
• Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte.
  
• Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche".
  
• Sélectionne "Exécuter un examen rapide"
  
• Clique sur "Rechercher"
  
• L'analyse démarre, le scan est relativement long, c'est normal.
  
• A la fin de l'analyse, un message s'affiche :

  L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.

  Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
  
• Ferme tes navigateurs.
  
• Si des malwares ont été détectés, clique sur Afficher les résultats.
  Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
  
• MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse.
  

Si MBAM demande à redémarrer le pc, fais-le.

 

!!! Ne pas vider la quarantaine de MBAM sans avis !!!

 

Après avoir posté ce rapport, installe Antivir.

 

Antivir est un antivirus gratuit, efficace et léger, maintenant en français, dont les mises à jour sont quotidiennes et les nouvelles menaces sont rapidement intégrées dans sa base virale. (D'où la meilleure protection).

 

En cas de souci de mise à jour: Mises à jour manuelles d'Antivir

 

• Télécharge installe et paramètre Antivir comme indiqué sur cette page: Télécharger, installer, configurer Antivir (version française)
  

 

PS: Quand un fichier infecté est détecté par Antivir, une fenêtre semblable à celle-ci s'ouvre:

 

 

Antivir te demande ce qu'il doit faire du fichier infecté.

Choisis Déplacer en quarantaine puis clique sur OK.

 

Tu peux automatiser ce type d'action en cochant une case), comme ci dessous :

 

Cela permet de ne pas rester à la surveiller.

 

Mets-le à jour puis lance une analyse complète.

Poste le rapport obtenu stp.

 

@++

[sebboulois]

merci beaucoup de m'avoir répondu,

j'ai fais ce que vous m'avez dit et je vous transmet les rapports de malwarebytes et de antivir

 

 

malwarebyte:

Malwarebytes' Anti-Malware 1.41

Version de la base de données: 3030

Windows 5.1.2600 Service Pack 1

 

03/11/2009 20:11:52

mbam-log-2009-11-03 (20-11-52).txt

 

Type de recherche: Examen rapide

Eléments examinés: 127717

Temps écoulé: 3 minute(s), 24 second(s)

 

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 4

Valeur(s) du Registre infectée(s): 2

Elément(s) de données du Registre infecté(s): 3

Dossier(s) infecté(s): 3

Fichier(s) infecté(s): 9

 

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Clé(s) du Registre infectée(s):

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\473d1b29f95b96241830b6a6ade19368 (Rogue.RegistryBot) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\5a144bd76064d1645b6e74c0734ee406 (Rogue.RegistryBot) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\965dcc82bc551df439b28676f8ab79e0 (Rogue.RegistryBot) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DbgMgr (Malware.Trace) -> Quarantined and deleted successfully.

 

Valeur(s) du Registre infectée(s):

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\sysgif32 (Trojan.Agent) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\internet connection wizard setup tool (Trojan.Downloader) -> Quarantined and deleted successfully.

 

Elément(s) de données du Registre infecté(s):

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\aux (Trojan.JSRedir.H) -> Bad: (C:\DOCUME~1\SBASTI~1\LOCALS~1\Temp\..\gdkom.nro) Good: (wdmaud.drv) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\BITS\ImagePath (Hijack.WindowsUpdates) -> Bad: (%fystemRoot%\System32\svchost.exe -k netsvcs) Good: (%SystemRoot%\System32\svchost.exe -k netsvcs) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\wuauserv\ImagePath (Hijack.WindowsUpdates) -> Bad: (%fystemroot%\system32\svchost.exe -k netsvcs) Good: (%SystemRoot%\System32\svchost.exe -k netsvcs) -> Quarantined and deleted successfully.

 

Dossier(s) infecté(s):

C:\Documents and Settings\Administrateur.CANCER-6U45ZJPP\Application Data\ErrorSmart (Rogue.ErrorSmart) -> Quarantined and deleted successfully.

C:\Documents and Settings\Administrateur.CANCER-6U45ZJPP\Application Data\ErrorSmart\Log (Rogue.ErrorSmart) -> Quarantined and deleted successfully.

C:\Documents and Settings\Administrateur.CANCER-6U45ZJPP\Application Data\ErrorSmart\Registry Backups (Rogue.ErrorSmart) -> Quarantined and deleted successfully.

 

Fichier(s) infecté(s):

C:\Documents and Settings\sébastien\Local Settings\gdkom.nro (Trojan.JSRedir.H) -> Quarantined and deleted successfully.

C:\Documents and Settings\sébastien\Menu Démarrer\Programmes\Démarrage\ikowin32.exe (Trojan.Agent) -> Quarantined and deleted successfully.

C:\Documents and Settings\Administrateur.CANCER-6U45ZJPP\Application Data\ErrorSmart\Log\2008 May 14 - 11_37_40 AM_781.log (Rogue.ErrorSmart) -> Quarantined and deleted successfully.

C:\Documents and Settings\Administrateur.CANCER-6U45ZJPP\Application Data\ErrorSmart\Log\2008 May 14 - 11_37_42 AM_671.log (Rogue.ErrorSmart) -> Quarantined and deleted successfully.

C:\Documents and Settings\Administrateur.CANCER-6U45ZJPP\Application Data\ErrorSmart\Registry Backups\2008-05-14_11-39-37.reg (Rogue.ErrorSmart) -> Quarantined and deleted successfully.

C:\Documents and Settings\Administrateur.CANCER-6U45ZJPP\Application Data\ErrorSmart\Registry Backups\2008-05-14_11-42-29.reg (Rogue.ErrorSmart) -> Quarantined and deleted successfully.

C:\Documents and Settings\All Users.WINDOWS\Application Data\Microsoft\Shortcuts\icwsetup.exe (Trojan.Downloader) -> Quarantined and deleted successfully.

C:\Documents and Settings\sébastien\Application Data\wiaserva.log (Malware.Trace) -> Quarantined and deleted successfully.

C:\Program Files\Internet Explorer\Connection Wizard\icwsetup.exe (Trojan.Downloader) -> Quarantined and deleted successfully.

 

 

 

antivir:

 

Avira AntiVir Personal

Date de création du fichier de rapport : mardi 3 novembre 2009 20:44

 

La recherche porte sur 1862988 souches de virus.

 

Détenteur de la licence : Avira AntiVir Personal - FREE Antivirus

Numéro de série : 0000149996-ADJIE-0000001

Plateforme : Windows XP

Version de Windows : (Service Pack 1) [5.1.2600]

Mode Boot : Démarré normalement

Identifiant : SYSTEM

Nom de l'ordinateur : CANCER-6U45ZJPP

 

Informations de version :

BUILD.DAT : 9.0.0.65 17959 Bytes 22/04/2009 12:06:00

AVSCAN.EXE : 9.0.3.6 466689 Bytes 21/04/2009 13:20:54

AVSCAN.DLL : 9.0.3.0 49409 Bytes 03/03/2009 10:21:02

LUKE.DLL : 9.0.3.2 209665 Bytes 20/02/2009 11:35:11

LUKERES.DLL : 9.0.2.0 13569 Bytes 03/03/2009 10:21:31

ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27/10/2008 13:50:58

ANTIVIR1.VDF : 7.1.4.132 5707264 Bytes 24/06/2009 13:50:58

ANTIVIR2.VDF : 7.1.6.160 5413376 Bytes 28/10/2009 13:41:44

ANTIVIR3.VDF : 7.1.6.185 221184 Bytes 03/11/2009 15:57:18

Version du moteur : 8.2.1.53

AEVDF.DLL : 8.1.1.2 106867 Bytes 15/09/2009 15:58:02

AESCRIPT.DLL : 8.1.2.43 528764 Bytes 30/10/2009 13:38:32

AESCN.DLL : 8.1.2.5 127346 Bytes 03/09/2009 15:24:42

AERDL.DLL : 8.1.3.2 479604 Bytes 02/10/2009 22:15:48

AEPACK.DLL : 8.2.0.2 422263 Bytes 22/10/2009 15:50:06

AEOFFICE.DLL : 8.1.0.38 196987 Bytes 17/06/2009 14:32:46

AEHEUR.DLL : 8.1.0.173 2064760 Bytes 28/10/2009 14:11:42

AEHELP.DLL : 8.1.7.0 237940 Bytes 03/09/2009 15:24:42

AEGEN.DLL : 8.1.1.70 364917 Bytes 28/10/2009 14:11:40

AEEMU.DLL : 8.1.1.0 393587 Bytes 02/10/2009 22:15:48

AECORE.DLL : 8.1.8.1 184693 Bytes 15/09/2009 15:57:58

AEBB.DLL : 8.1.0.3 53618 Bytes 15/10/2008 10:49:34

AVWINLL.DLL : 9.0.0.3 18177 Bytes 12/12/2008 08:47:30

AVPREF.DLL : 9.0.0.1 43777 Bytes 03/12/2008 11:39:26

AVREP.DLL : 8.0.0.3 155905 Bytes 20/01/2009 14:34:28

AVREG.DLL : 9.0.0.0 36609 Bytes 07/11/2008 15:24:42

AVARKT.DLL : 9.0.0.3 292609 Bytes 24/03/2009 15:05:22

AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30/01/2009 10:36:37

SQLITE3.DLL : 3.6.1.0 326401 Bytes 28/01/2009 15:03:49

SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02/02/2009 08:20:57

NETNT.DLL : 9.0.0.0 11521 Bytes 07/11/2008 15:40:59

RCIMAGE.DLL : 9.0.0.21 2438401 Bytes 17/02/2009 13:49:32

RCTEXT.DLL : 9.0.37.0 88321 Bytes 15/04/2009 10:07:05

 

Configuration pour la recherche actuelle :

Nom de la tâche...............................: Contrôle intégral du système

Fichier de configuration......................: c:\program files\avira\antivir desktop\sysscan.avp

Documentation.................................: bas

Action principale.............................: interactif

Action secondaire.............................: ignorer

Recherche sur les secteurs d'amorçage maître..: marche

Recherche sur les secteurs d'amorçage.........: marche

Secteurs d'amorçage...........................: C:,

Recherche dans les programmes actifs..........: marche

Recherche en cours sur l'enregistrement.......: marche

Recherche de Rootkits.........................: marche

Contrôle d'intégrité de fichiers système......: arrêt

Fichier mode de recherche.....................: Tous les fichiers

Recherche sur les archives....................: marche

Limiter la profondeur de récursivité..........: 20

Archive Smart Extensions......................: marche

Heuristique de macrovirus.....................: marche

Heuristique fichier...........................: moyen

 

Début de la recherche : mardi 3 novembre 2009 20:44

 

La recherche d'objets cachés commence.

'24315' objets ont été contrôlés, '0' objets cachés ont été trouvés.

 

La recherche sur les processus démarrés commence :

Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés

Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés

Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés

Processus de recherche 'TeaTimer.exe' - '1' module(s) sont contrôlés

Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés

Processus de recherche 'qttask.exe' - '1' module(s) sont contrôlés

Processus de recherche 'hpztsb05.exe' - '1' module(s) sont contrôlés

Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés

Processus de recherche 'vsmon.exe' - '0' module(s) sont contrôlés

Processus de recherche 'wdfmgr.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'SMAgent.exe' - '1' module(s) sont contrôlés

Processus de recherche 'alg.exe' - '1' module(s) sont contrôlés

Processus de recherche 'a2service.exe' - '1' module(s) sont contrôlés

Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés

Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés

Processus de recherche 'services.exe' - '1' module(s) sont contrôlés

Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés

Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés

Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés

'24' processus ont été contrôlés avec '24' modules

 

La recherche sur les secteurs d'amorçage maître commence :

Secteur d'amorçage maître HD0

[iNFO] Aucun virus trouvé !

Secteur d'amorçage maître HD1

[iNFO] Aucun virus trouvé !

Secteur d'amorçage maître HD2

[iNFO] Aucun virus trouvé !

Secteur d'amorçage maître HD3

[iNFO] Aucun virus trouvé !

Secteur d'amorçage maître HD4

[iNFO] Aucun virus trouvé !

Secteur d'amorçage maître HD5

[iNFO] Aucun virus trouvé !

 

La recherche sur les secteurs d'amorçage commence :

Secteur d'amorçage 'C:\'

[iNFO] Aucun virus trouvé !

 

La recherche sur les renvois aux fichiers exécutables (registre) commence :

Le registre a été contrôlé ( '42' fichiers).

 

 

La recherche sur les fichiers sélectionnés commence :

 

Recherche débutant dans 'C:\'

C:\pagefile.sys

[AVERTISSEMENT] Impossible d'ouvrir le fichier !

[REMARQUE] Ce fichier est un fichier système Windows.

[REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.

C:\Documents and Settings\All Users.WINDOWS\Application Data\Microsoft\Shortcuts.000

[RESULTAT] Contient le cheval de Troie TR/Crypt.ZPACK.Gen

C:\Documents and Settings\All Users.WINDOWS\Application Data\Microsoft\Shortcuts.001

[RESULTAT] Contient le cheval de Troie TR/Crypt.ZPACK.Gen

C:\Program Files\HP Photosmart 11\hphinstall\hpzglu05.exe

[RESULTAT] Contient le modèle de détection du virus ADWARE/Adware.Gen

C:\Program Files\HP Photosmart 11\Printer\Hpzglu05.exe

[RESULTAT] Contient le modèle de détection du virus ADWARE/Adware.Gen

C:\System Volume Information\_restore{062DDE81-565E-41E2-A6D2-0A957011CD58}\RP938\A0194840.exe

[RESULTAT] Contient le cheval de Troie TR/Crypt.ZPACK.Gen

C:\System Volume Information\_restore{062DDE81-565E-41E2-A6D2-0A957011CD58}\RP938\A0194841.exe

[RESULTAT] Contient le cheval de Troie TR/Crypt.ZPACK.Gen

C:\System Volume Information\_restore{062DDE81-565E-41E2-A6D2-0A957011CD58}\RP938\A0194857.exe

[RESULTAT] Contient le cheval de Troie TR/Crypt.ZPACK.Gen

C:\System Volume Information\_restore{062DDE81-565E-41E2-A6D2-0A957011CD58}\RP938\A0194858.exe

[RESULTAT] Contient le cheval de Troie TR/Crypt.ZPACK.Gen

C:\System Volume Information\_restore{062DDE81-565E-41E2-A6D2-0A957011CD58}\RP938\A0194864.exe

[RESULTAT] Contient le cheval de Troie TR/Crypt.ZPACK.Gen

C:\System Volume Information\_restore{062DDE81-565E-41E2-A6D2-0A957011CD58}\RP938\A0194865.exe

[RESULTAT] Contient le cheval de Troie TR/Crypt.ZPACK.Gen

C:\System Volume Information\_restore{062DDE81-565E-41E2-A6D2-0A957011CD58}\RP938\A0194874.exe

[RESULTAT] Contient le cheval de Troie TR/Crypt.ZPACK.Gen

C:\System Volume Information\_restore{062DDE81-565E-41E2-A6D2-0A957011CD58}\RP938\A0194875.exe

[RESULTAT] Contient le cheval de Troie TR/Crypt.ZPACK.Gen

C:\System Volume Information\_restore{062DDE81-565E-41E2-A6D2-0A957011CD58}\RP938\A0194888.exe

[RESULTAT] Contient le cheval de Troie TR/Crypt.ZPACK.Gen

C:\System Volume Information\_restore{062DDE81-565E-41E2-A6D2-0A957011CD58}\RP938\A0194889.exe

[RESULTAT] Contient le cheval de Troie TR/Crypt.ZPACK.Gen

C:\System Volume Information\_restore{062DDE81-565E-41E2-A6D2-0A957011CD58}\RP939\A0194890.exe

[RESULTAT] Contient le cheval de Troie TR/Crypt.ZPACK.Gen

C:\System Volume Information\_restore{062DDE81-565E-41E2-A6D2-0A957011CD58}\RP939\A0194910.exe

[RESULTAT] Contient le cheval de Troie TR/Crypt.ZPACK.Gen

C:\System Volume Information\_restore{062DDE81-565E-41E2-A6D2-0A957011CD58}\RP939\A0194919.exe

[RESULTAT] Contient le cheval de Troie TR/Crypt.ZPACK.Gen

C:\System Volume Information\_restore{062DDE81-565E-41E2-A6D2-0A957011CD58}\RP939\A0194921.exe

[RESULTAT] Contient le cheval de Troie TR/Crypt.ZPACK.Gen

C:\System Volume Information\_restore{062DDE81-565E-41E2-A6D2-0A957011CD58}\RP939\A0194934.exe

[RESULTAT] Contient le cheval de Troie TR/Crypt.ZPACK.Gen

C:\System Volume Information\_restore{062DDE81-565E-41E2-A6D2-0A957011CD58}\RP939\A0194935.exe

[RESULTAT] Contient le cheval de Troie TR/Crypt.ZPACK.Gen

C:\System Volume Information\_restore{062DDE81-565E-41E2-A6D2-0A957011CD58}\RP939\A0194949.exe

[RESULTAT] Contient le cheval de Troie TR/Crypt.ZPACK.Gen

C:\System Volume Information\_restore{062DDE81-565E-41E2-A6D2-0A957011CD58}\RP939\A0194950.exe

[RESULTAT] Contient le cheval de Troie TR/Crypt.ZPACK.Gen

C:\System Volume Information\_restore{062DDE81-565E-41E2-A6D2-0A957011CD58}\RP939\A0194957.exe

[RESULTAT] Contient le cheval de Troie TR/Crypt.ZPACK.Gen

C:\System Volume Information\_restore{062DDE81-565E-41E2-A6D2-0A957011CD58}\RP939\A0194958.exe

[RESULTAT] Contient le cheval de Troie TR/Crypt.ZPACK.Gen

C:\System Volume Information\_restore{062DDE81-565E-41E2-A6D2-0A957011CD58}\RP940\A0195038.exe

[RESULTAT] Contient le cheval de Troie TR/Crypt.ZPACK.Gen

C:\System Volume Information\_restore{062DDE81-565E-41E2-A6D2-0A957011CD58}\RP940\A0195101.exe

[RESULTAT] Contient le cheval de Troie TR/Crypt.ZPACK.Gen

C:\System Volume Information\_restore{062DDE81-565E-41E2-A6D2-0A957011CD58}\RP940\A0195103.exe

[RESULTAT] Contient le cheval de Troie TR/Crypt.ZPACK.Gen

C:\System Volume Information\_restore{062DDE81-565E-41E2-A6D2-0A957011CD58}\RP940\A0195130.exe

[RESULTAT] Contient le cheval de Troie TR/Crypt.ZPACK.Gen

C:\System Volume Information\_restore{062DDE81-565E-41E2-A6D2-0A957011CD58}\RP940\A0195131.exe

[RESULTAT] Contient le cheval de Troie TR/Crypt.ZPACK.Gen

C:\System Volume Information\_restore{062DDE81-565E-41E2-A6D2-0A957011CD58}\RP940\A0195137.exe

[RESULTAT] Contient le cheval de Troie TR/Crypt.ZPACK.Gen

C:\System Volume Information\_restore{062DDE81-565E-41E2-A6D2-0A957011CD58}\RP940\A0195138.exe

[RESULTAT] Contient le cheval de Troie TR/Crypt.ZPACK.Gen

C:\System Volume Information\_restore{062DDE81-565E-41E2-A6D2-0A957011CD58}\RP940\A0195143.exe

[RESULTAT] Contient le cheval de Troie TR/Crypt.ZPACK.Gen

C:\System Volume Information\_restore{062DDE81-565E-41E2-A6D2-0A957011CD58}\RP940\A0195146.exe

[RESULTAT] Contient le cheval de Troie TR/Crypt.ZPACK.Gen

C:\System Volume Information\_restore{062DDE81-565E-41E2-A6D2-0A957011CD58}\RP940\A0195150.exe

[RESULTAT] Contient le cheval de Troie TR/Dldr.FraudLoad.fcu

 

Début de la désinfection :

C:\Documents and Settings\All Users.WINDOWS\Application Data\Microsoft\Shortcuts.000

[RESULTAT] Contient le cheval de Troie TR/Crypt.ZPACK.Gen

[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4b5f8dd6.qua' !

C:\Documents and Settings\All Users.WINDOWS\Application Data\Microsoft\Shortcuts.001

[RESULTAT] Contient le cheval de Troie TR/Crypt.ZPACK.Gen

[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4ac4b327.qua' !

C:\Program Files\HP Photosmart 11\hphinstall\hpzglu05.exe

[RESULTAT] Contient le modèle de détection du virus ADWARE/Adware.Gen

[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4b6a8dde.qua' !

C:\Program Files\HP Photosmart 11\Printer\Hpzglu05.exe

[RESULTAT] Contient le modèle de détection du virus ADWARE/Adware.Gen

[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4af7c35f.qua' !

C:\System Volume Information\_restore{062DDE81-565E-41E2-A6D2-0A957011CD58}\RP938\A0194840.exe

[RESULTAT] Contient le cheval de Troie TR/Crypt.ZPACK.Gen

[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4b218d9e.qua' !

C:\System Volume Information\_restore{062DDE81-565E-41E2-A6D2-0A957011CD58}\RP938\A0194841.exe

[RESULTAT] Contient le cheval de Troie TR/Crypt.ZPACK.Gen

[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4883fa7f.qua' !

C:\System Volume Information\_restore{062DDE81-565E-41E2-A6D2-0A957011CD58}\RP938\A0194857.exe

[RESULTAT] Contient le cheval de Troie TR/Crypt.ZPACK.Gen

[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4a81e847.qua' !

C:\System Volume Information\_restore{062DDE81-565E-41E2-A6D2-0A957011CD58}\RP938\A0194858.exe

[RESULTAT] Contient le cheval de Troie TR/Crypt.ZPACK.Gen

[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4abed38f.qua' !

C:\System Volume Information\_restore{062DDE81-565E-41E2-A6D2-0A957011CD58}\RP938\A0194864.exe

[RESULTAT] Contient le cheval de Troie TR/Crypt.ZPACK.Gen

[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4880fd87.qua' !

C:\System Volume Information\_restore{062DDE81-565E-41E2-A6D2-0A957011CD58}\RP938\A0194865.exe

[RESULTAT] Contient le cheval de Troie TR/Crypt.ZPACK.Gen

[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4ab9aa07.qua' !

C:\System Volume Information\_restore{062DDE81-565E-41E2-A6D2-0A957011CD58}\RP938\A0194874.exe

[RESULTAT] Contient le cheval de Troie TR/Crypt.ZPACK.Gen

[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4882f237.qua' !

C:\System Volume Information\_restore{062DDE81-565E-41E2-A6D2-0A957011CD58}\RP938\A0194875.exe

[RESULTAT] Contient le cheval de Troie TR/Crypt.ZPACK.Gen

[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '48850aef.qua' !

C:\System Volume Information\_restore{062DDE81-565E-41E2-A6D2-0A957011CD58}\RP938\A0194888.exe

[RESULTAT] Contient le cheval de Troie TR/Crypt.ZPACK.Gen

[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '488402a7.qua' !

C:\System Volume Information\_restore{062DDE81-565E-41E2-A6D2-0A957011CD58}\RP938\A0194889.exe

[RESULTAT] Contient le cheval de Troie TR/Crypt.ZPACK.Gen

[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '48871a9f.qua' !

C:\System Volume Information\_restore{062DDE81-565E-41E2-A6D2-0A957011CD58}\RP939\A0194890.exe

[RESULTAT] Contient le cheval de Troie TR/Crypt.ZPACK.Gen

[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '48861357.qua' !

C:\System Volume Information\_restore{062DDE81-565E-41E2-A6D2-0A957011CD58}\RP939\A0194910.exe

[RESULTAT] Contient le cheval de Troie TR/Crypt.ZPACK.Gen

[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '48892b0f.qua' !

C:\System Volume Information\_restore{062DDE81-565E-41E2-A6D2-0A957011CD58}\RP939\A0194919.exe

[RESULTAT] Contient le cheval de Troie TR/Crypt.ZPACK.Gen

[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '488823c7.qua' !

C:\System Volume Information\_restore{062DDE81-565E-41E2-A6D2-0A957011CD58}\RP939\A0194921.exe

[RESULTAT] Contient le cheval de Troie TR/Crypt.ZPACK.Gen

[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '488b3bbf.qua' !

C:\System Volume Information\_restore{062DDE81-565E-41E2-A6D2-0A957011CD58}\RP939\A0194934.exe

[RESULTAT] Contient le cheval de Troie TR/Crypt.ZPACK.Gen

[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '488a3077.qua' !

C:\System Volume Information\_restore{062DDE81-565E-41E2-A6D2-0A957011CD58}\RP939\A0194935.exe

[RESULTAT] Contient le cheval de Troie TR/Crypt.ZPACK.Gen

[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '488d482f.qua' !

C:\System Volume Information\_restore{062DDE81-565E-41E2-A6D2-0A957011CD58}\RP939\A0194949.exe

[RESULTAT] Contient le cheval de Troie TR/Crypt.ZPACK.Gen

[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '488c40e7.qua' !

C:\System Volume Information\_restore{062DDE81-565E-41E2-A6D2-0A957011CD58}\RP939\A0194950.exe

[RESULTAT] Contient le cheval de Troie TR/Crypt.ZPACK.Gen

[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '488f58df.qua' !

C:\System Volume Information\_restore{062DDE81-565E-41E2-A6D2-0A957011CD58}\RP939\A0194957.exe

[RESULTAT] Contient le cheval de Troie TR/Crypt.ZPACK.Gen

[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '488e5097.qua' !

C:\System Volume Information\_restore{062DDE81-565E-41E2-A6D2-0A957011CD58}\RP939\A0194958.exe

[RESULTAT] Contient le cheval de Troie TR/Crypt.ZPACK.Gen

[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4891694f.qua' !

C:\System Volume Information\_restore{062DDE81-565E-41E2-A6D2-0A957011CD58}\RP940\A0195038.exe

[RESULTAT] Contient le cheval de Troie TR/Crypt.ZPACK.Gen

[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '48906107.qua' !

C:\System Volume Information\_restore{062DDE81-565E-41E2-A6D2-0A957011CD58}\RP940\A0195101.exe

[RESULTAT] Contient le cheval de Troie TR/Crypt.ZPACK.Gen

[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4abdcb27.qua' !

C:\System Volume Information\_restore{062DDE81-565E-41E2-A6D2-0A957011CD58}\RP940\A0195103.exe

[RESULTAT] Contient le cheval de Troie TR/Crypt.ZPACK.Gen

[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4b218d9f.qua' !

C:\System Volume Information\_restore{062DDE81-565E-41E2-A6D2-0A957011CD58}\RP940\A0195130.exe

[RESULTAT] Contient le cheval de Troie TR/Crypt.ZPACK.Gen

[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '48948e50.qua' !

C:\System Volume Information\_restore{062DDE81-565E-41E2-A6D2-0A957011CD58}\RP940\A0195131.exe

[RESULTAT] Contient le cheval de Troie TR/Crypt.ZPACK.Gen

[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '48978618.qua' !

C:\System Volume Information\_restore{062DDE81-565E-41E2-A6D2-0A957011CD58}\RP940\A0195137.exe

[RESULTAT] Contient le cheval de Troie TR/Crypt.ZPACK.Gen

[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '48969e20.qua' !

C:\System Volume Information\_restore{062DDE81-565E-41E2-A6D2-0A957011CD58}\RP940\A0195138.exe

[RESULTAT] Contient le cheval de Troie TR/Crypt.ZPACK.Gen

[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '489996e8.qua' !

C:\System Volume Information\_restore{062DDE81-565E-41E2-A6D2-0A957011CD58}\RP940\A0195143.exe

[RESULTAT] Contient le cheval de Troie TR/Crypt.ZPACK.Gen

[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4898aeb0.qua' !

C:\System Volume Information\_restore{062DDE81-565E-41E2-A6D2-0A957011CD58}\RP940\A0195146.exe

[RESULTAT] Contient le cheval de Troie TR/Crypt.ZPACK.Gen

[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '489ba778.qua' !

C:\System Volume Information\_restore{062DDE81-565E-41E2-A6D2-0A957011CD58}\RP940\A0195150.exe

[RESULTAT] Contient le cheval de Troie TR/Dldr.FraudLoad.fcu

[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '489abf00.qua' !

 

 

Fin de la recherche : mardi 3 novembre 2009 21:07

Temps nécessaire: 17:04 Minute(s)

 

La recherche a été effectuée intégralement

 

3049 Les répertoires ont été contrôlés

108592 Des fichiers ont été contrôlés

34 Des virus ou programmes indésirables ont été trouvés

0 Des fichiers ont été classés comme suspects

0 Des fichiers ont été supprimés

0 Des virus ou programmes indésirables ont été réparés

34 Les fichiers ont été déplacés dans la quarantaine

0 Les fichiers ont été renommés

1 Impossible de contrôler des fichiers

108557 Fichiers non infectés

1004 Les archives ont été contrôlées

1 Avertissements

35 Consignes

24315 Des objets ont été contrôlés lors du Rootkitscan

0 Des objets cachés ont été trouvés

 

 

 

 

 

 

encore merci

[sebboulois]

j'ai essayer ça a l'air de fonctionner de nouveaux

une petite question vous me dites de passer à sp2 mais c'est quoi?

 

encore un grand merci

[Apollo]

Bonjour,

 

Stp, ne change pas la taille des caractères du forum; lorsque tu colles un rapport laisse les caractères mis ici par défaut, merci.

 

Le SP2 (Service Pack 2) s'obtient en se rendant sur Windows Update. (Démarrer/tous les programmes et au-dessus de la fenêtre cliquer sur Windows Update ou Microsoft Update)

 

Il faut installer toutes les mises à jour prioritaires qui te seront proposées, mais il vaut mieux installer cela + toutes les mises à jour qui en découleront après que l'on soit sûrs que la machine est bien désinfectée.

 

Il faudra retourner autant de fois qu'il le faut et tant que Windows Update proposera des mises à jour prioritaires, il faudra les installer; cela permet de rendre le système plus sûr et plus stable.

 

Fais un NOUVEAU log Hijackthis stp.

 

@++

[sebboulois]

salut,

voici le nouveau log hijackthis:

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 15:34:37, on 04/11/2009

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Avira\AntiVir Desktop\sched.exe

c:\program files\a-squared free\a2service.exe

C:\Program Files\Avira\AntiVir Desktop\avguard.exe

C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe

C:\Program Files\QuickTime\qttask.exe

C:\Program Files\Avira\AntiVir Desktop\avgnt.exe

C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

C:\Program Files\zeprotec\HiJackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.be/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min

O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/Facebo...toUploader5.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMesse...pDownloader.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{1220A3FC-14D9-4A1D-95E9-63AB9C761A5E}: NameServer = 212.87.96.9 87.236.216.220

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL

O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - c:\program files\a-squared free\a2service.exe

O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe

O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe

O23 - Service: Service de transfert intelligent en arrière-plan (BITS) - Unknown owner - C:\WINDOWS\

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

O23 - Service: Mises à jour automatiques (wuauserv) - Unknown owner - C:\WINDOWS\

 

--

End of file - 4587 bytes

 

 

merci

[Apollo]

Re,

 

Il est indispensable que le Tea Timer soit désactivé si tu veux qu'on puisse nettoyer efficacement ta machine!

 

Désactive le teatimer de Spybot en passant par les options de Spybot: une fois dans le logiciel, il faut aller dans le menu "Mode" => coche "Mode avancé" => "Outils"(en bas de page)=> "Résident" => et tu décoches cette case: "Résident Teatimer" . Tu ne dois plus voir l'icône du Teatimer dans la barre de tâches!

Ne fais pas l'impasse sur cette étape, car ça peut faire échouer la procédure de désinfection !

 

 

Merci à Marie pour la capture

 

Relance Hijackthis avec Do a system scan only et coche les cases devant les lignes suivantes: SOUS VISTA: Clic droit sur Hijackthis/exécuter en temps qu'administrateur!

 

O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript

O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

 

Ferme toutes les applications ouvertes et les navigateurs et clique sur Fix Checked

 

--------------------------------------

Le logiciel qui suit n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.

Ne pas utiliser en dehors de ce cas de figure.

 

Désactive ton antivirus, firewall et antispyware le temps de l'analyse.

 

Connecter les supports amovibles (clé usb et autres) avant de procéder.

 

Tutoriel officiel

 

Télécharge ComboFix sur ton bureau (et pas ailleurs).

• Si la console de récupération n'est pas installée sur un XP, ComboFix va proposer de l'installer: Accepter!
  
• Assure toi que tous les programmes sont fermés avant de commencer.
  
• Double-clique ComboFix.exe afin de l'exécuter.
  
• Clique sur "Oui" au message de Limitation de Garantie qui s'affiche.
  
• Il est possible que ton pare-feu (firewall) te demande si tu acceptes ou non l'accès de nircmd.cfexe à la zone sûre: accepte.
  
• Ne ferme pas la fenêtre qui vient de s'ouvrir, tu te retrouverais avec un bureau vide.
  
• Lorsque l'analyse sera terminée, un rapport apparaîtra.
  
• Copie-colle ce rapport dans ta prochaine réponse.
  Le rapport se trouve dans : C:\Combofix.txt (si jamais).
  

 

Si tu perds la connexion après le passage de ComboFix, voici comment la réparer ICI.

 

 

@++

[sebboulois]

bonjour et merci

 

j'aissayerai ce week end et donnerai alors de nouvelle

 

à+

[sebboulois]

salut,

 

voici le rapport combo fix,l'installation de la console de recupération a échoué et la ligne :

O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

n'est pas apprue je n'ai donc pas pu la supprimer

 

rapport combofix:

 

ComboFix 09-11-06.03 - sébastien 07/11/2009 11:00.1.1 - NTFSx86

Microsoft Windows XP Édition familiale 5.1.2600.1.1252.33.1036.18.247.133 [GMT 1:00]

Lancé depuis: c:\documents and settings\sébastien\Bureau\ComboFix.exe

 

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

c:\windows\dispatcher.exe

 

.

((((((((((((((((((((((((((((( Fichiers créés du 2009-10-07 au 2009-11-07 ))))))))))))))))))))))))))))))))))))

.

 

2009-11-03 19:37 . 2009-03-30 09:32 96104 ----a-w- c:\windows\system32\drivers\avipbb.sys

2009-11-03 19:37 . 2009-02-13 11:28 22360 ----a-w- c:\windows\system32\drivers\avgntmgr.sys

2009-11-03 19:37 . 2009-02-13 11:17 45416 ----a-w- c:\windows\system32\drivers\avgntdd.sys

2009-11-03 19:37 . 2009-11-03 19:37 -------- d-----w- c:\program files\Avira

2009-11-03 19:37 . 2009-11-03 19:37 -------- d-----w- c:\documents and settings\All Users.WINDOWS\Application Data\Avira

2009-11-03 19:03 . 2009-09-10 13:54 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys

2009-11-03 19:03 . 2009-11-03 19:03 -------- d-----w- c:\documents and settings\All Users.WINDOWS\Application Data\Malwarebytes

2009-11-03 19:03 . 2009-09-10 13:53 18520 ----a-w- c:\windows\system32\drivers\mbam.sys

2009-11-03 19:03 . 2009-11-03 19:03 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware

2009-11-03 16:32 . 2009-11-03 16:32 -------- dc-h--w- c:\documents and settings\All Users.WINDOWS\Application Data\{CFBD8779-FAAB-4357-84F2-1EC8619FADA6}

2009-11-03 16:32 . 2009-10-03 08:15 2924848 -c--a-w- c:\documents and settings\All Users.WINDOWS\Application Data\{CFBD8779-FAAB-4357-84F2-1EC8619FADA6}\Ad-AwareInstallation.exe

2009-11-03 16:31 . 2009-11-03 16:31 -------- d-----w- c:\documents and settings\All Users.WINDOWS\Application Data\Lavasoft

2009-11-03 16:25 . 2009-11-03 16:25 -------- d-----w- c:\program files\Spybot - Search & Destroy

2009-11-03 16:20 . 2009-11-07 09:37 -------- d-----w- c:\program files\zeprotec

2009-10-11 15:22 . 2009-10-11 15:22 -------- d-----w- c:\windows\Sun

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-11-06 22:25 . 2007-05-15 13:30 -------- d-----w- c:\program files\eMule

2009-11-03 19:14 . 2009-10-31 23:23 18265929 ----a-w- c:\windows\Internet Logs\vsmon_on_demand_2009_10_31_23_01_47_full.dmp.zip

2009-11-03 16:36 . 2007-01-17 19:12 -------- d-----w- c:\program files\a-squared Free

2009-11-03 16:31 . 2005-09-18 07:59 -------- d-----w- c:\program files\Lavasoft

2009-11-03 16:28 . 2005-10-20 23:54 -------- d-----w- c:\documents and settings\All Users.WINDOWS\Application Data\Spybot - Search & Destroy

2009-11-03 15:17 . 2005-09-18 05:43 -------- d-----w- c:\documents and settings\LocalService.AUTORITE NT\Application Data\AVG7

2009-11-03 15:17 . 2005-09-18 05:43 -------- d-----w- c:\documents and settings\All Users.WINDOWS\Application Data\avg7

2009-10-25 17:55 . 2002-08-30 14:00 368076 ----a-w- c:\windows\system32\perfh00C.dat

2009-10-25 17:55 . 2002-08-30 14:00 48856 ----a-w- c:\windows\system32\perfc00C.dat

2009-09-24 14:26 . 2009-09-24 14:26 -------- d-----w- c:\program files\Misc. Support Library (Spybot - Search & Destroy)

2009-09-13 08:25 . 2007-01-11 10:37 664 ----a-w- c:\windows\system32\d3d9caps.dat

2009-08-18 20:38 . 2009-07-30 07:25 0 ----a-w- c:\windows\system32\drivers\91519b29.sys

2009-04-07 11:41 . 2009-04-07 11:41 14249858 ----a-w- c:\program files\klcodec475f.exe

2009-04-07 11:19 . 2009-04-07 11:19 19389512 ----a-w- c:\program files\DivXInstaller.exe

2008-09-07 09:57 . 2008-09-07 09:57 15397 ----a-w- c:\program files\settings.dat

2008-06-27 21:11 . 2008-06-27 21:11 2914296 ----a-w- c:\program files\ccsetup208.exe

2006-01-02 07:33 . 2006-01-02 07:33 23021360 ----a-w- c:\program files\acrobatreader.exe

.

 

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"HPDJ Taskbar Utility"="c:\windows\System32\spool\drivers\w32x86\3\hpztsb05.exe" [2002-05-24 188416]

"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2005-10-16 155648]

"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]

 

R0 avgntmgr;avgntmgr;c:\windows\system32\drivers\avgntmgr.sys [03/11/2009 20:37 22360]

R1 avgntdd;avgntdd;c:\windows\system32\drivers\avgntdd.sys [03/11/2009 20:37 45416]

R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [03/11/2009 20:37 108289]

S1 91519b29;91519b29;c:\windows\system32\drivers\91519b29.sys [30/07/2009 08:25 0]

 

--- Autres Services/Pilotes en mémoire ---

 

*NewlyCreated* - MBR

*NewlyCreated* - PROCEXP113

*Deregistered* - mbr

*Deregistered* - PROCEXP113

.

.

------- Examen supplémentaire -------

.

uStart Page = hxxp://www.google.be/

IE: E&xport to Microsoft Excel - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000

TCP: {1220A3FC-14D9-4A1D-95E9-63AB9C761A5E} = 212.87.96.9 87.236.216.220

DPF: DirectAnimation Java Classes

DPF: Microsoft XML Parser for Java

.

- - - - ORPHELINS SUPPRIMES - - - -

 

SafeBoot-Lavasoft Ad-Aware Service

 

 

 

**************************************************************************

 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-11-07 11:06

Windows 5.1.2600 Service Pack 1 NTFS

 

Recherche de processus cachés ...

 

Recherche d'éléments en démarrage automatique cachés ...

 

Recherche de fichiers cachés ...

 

Scan terminé avec succès

Fichiers cachés: 0

 

**************************************************************************

.

--------------------- CLES DE REGISTRE BLOQUEES ---------------------

 

[HKEY_USERS\S-1-5-21-1757981266-651377827-1801674531-1004\Software\Microsoft\SystemCertificates\AddressBook*]

@Allowed: (Read) (RestrictedCode)

@Allowed: (Read) (RestrictedCode)

.

--------------------- DLLs chargées dans les processus actifs ---------------------

 

- - - - - - - > 'winlogon.exe'(484)

c:\windows\System32\ODBC32.dll

 

- - - - - - - > 'lsass.exe'(540)

c:\windows\System32\dssenh.dll

.

Heure de fin: 2009-11-07 11:09

ComboFix-quarantined-files.txt 2009-11-07 10:08

 

Avant-CF: 6 170 267 648 octets libres

Après-CF: 6 145 789 952 octets libres

 

- - End Of File - - 8CE4EF07D4FC2299F1221C01440625AB

 

 

encore merci

[Apollo]

Bonjour,

 

Comment se comporte la machine?

 

Poste un nouveau log Hijackthis stp.

 

@++